據外媒ZDNet報道,一家收集北美數百萬手機用戶實時定位數據的公司,其官網上存在一個漏洞,可以讓任何人在未經允許的情況下,查看一個人的地理位置。
本週早些時候,該媒體就曾報道稱美國最大的四家手機運營商(T-Mobile、Verizon、AT&T以及Sprint),正在向一個不知名的公司出售用戶的實時位置數據。這家公司名為“LocationSmart”,可以說是一個數據聚合器,它聲稱自己與移動運營商有“直接聯繫”,可以從附近的基站獲取位置信息。
在其網站上,有一個“先用後買”的頁面,可以讓用戶測試其數據的準確性。ZDNet經過測試發現,追蹤結果非常準確,甚至可以精準地定位到城市的街區。而這家公司客戶要做的是確保得到電話號碼主人的同意後,他們會發短信或打電話通知對方。
這一漏洞由卡內基梅隆大學的研究員Robert Xiao發現,他表示,LocationSmart的一個非常小的漏洞就能讓人繞開這一要求,並對任何手機展開無限制的追蹤。這也就意味著,從一開始就無需徵得同意,而且這裡似乎也沒有安全監督。
在計算機安全應急響應小組(CERT)的幫助下,Xiao告知了LocationSmart這一漏洞的存在,隨後“先用後買”的頁面就下線了。他表示,這一漏洞可能已經暴露了美國和加拿大幾乎每個手機用戶的信息,總計大概2億人。
“這真的是一個很小的漏洞。”Xiao向ZDNet展示了一個他開發的腳本,可以利用該公司的API中的漏洞。
【關注我們,看最有料的雲計算】
分享到:
閱讀更多 雲有料 的文章
